Rubber Ducky
Of het USB’tje ook daadwerkelijk een laptop in is gegaan weet ik niet 100% zeker. Ik vond het wel erg opmerkelijk dat het zo makkelijk ging.
Ik trok uit deze ervaring twee conclusies:
- Social engineering is super spannend en tof!
- Een USB stick en behulpzame medewerker is een interessante combinatie.
Met de eerste conclusie zal ik je niet lastig vallen. De tweede conclusie is wel een stuk interessanter voor de ICT-nerds. Hoeveel is nodig om zelf een “gevaarlijke” USB stick te maken? Deze USB sticks worden tijdens de Ceritified Etical Hacker training behandeld en daar wordt verteld dat je die niet zomaar zelf kan maken. Maar wat als je het toch zelf wil proberen of wat als je te gierig bent voor zo’n plug-and-play tooltje en in plaats daarvan zelf wilt knutselen?
Antwoord: het is super gemakkelijk om je eigen Rubber Ducky te maken! Met een Raspberry Pi, wat google zoekopdrachten en een middagje vrije tijd heb je in een mum van tijd je eigen Rubber Ducky. In een paar uur kon ik een programma laten openen op de computer waar de Rubber Ducky ingeplugd was. Nog een paar uur later kon ik via Wi-Fi een computer binnendringen en zelf scriptjes uitvoeren zonder dat de Rubber Ducky daadwerkelijk meer ingeplugd hoefde te zijn.
Nogmaals, dit is niet een blog om je op het idee te brengen om zelf een Rubber Duckies te maken. Het is bedoeld om inzicht te geven in hoe gemakkelijk het is om een tooltje te maken die schadelijk kan zijn voor je computer. Dit allemaal met wat basiskennis en vrije tijd. Dus hoe goed een organisatie zichzelf ook beschermt, door firewalls, veilige code en een prima wachtwoord protocol, met behulp van één werknemer die besluit een Rubber Ducky USB in zijn laptop te steken is al die security moeite teniet gedaan. Boem! Het hele systeem waar maanden aan is gewerkt, naar de grootjes.
Natuurlijk kun je jezelf hier tot op zekere hoogte tegen verdedigen. Als je daar meer over wilt weten staat het Security Gilde van KZA altijd voor je klaar om oplossingen te bieden.
Disclaimer: deze blog is puur ter lering en vermaak geschreven, niet ter inspiratie voor malafide praktijken.

Wouter van der Eng
Test Specialist